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(57) Abstract 

The invention relates to a security 
system, comprising an electronic key with 
a transmitter and a secured object with a 

receiver. The transmitter and the receiver - ^ s sf\ 

are configured in such a way that they can 
communicate with each other in order to 
transfer authentication data. The inventive 
system is characterised in that the trans- 
mitter sends identification data which are 

unequivocal for the key, said identification data being embedded in the hardware of the transmitter. If the transmitted identification data 
correspond to the identification data of the receiver, the security system gives authorisation for the secured object when the authentication 
data are transmitted. The invention also relates to a security system comprising an electronic key with a transmitter and a secured object 
with a receiver, the transmitter and the receiver being configured in such a way that they can communicate with each other so that authen- 
tication data can be transmitted. The authentication data are contained in a reply message which is transmitted by the key in response to 
an identification request received by the secured object. The system is characterised in that at least a part of the reply message must be 
received within a time slot for acceptance for the authorisation for the secured object to be given by the security system, said time slot 
beginning a set period of time after the start of the transmission of the identification request 



(57) Zusammenfassung 



Ein Sicherheitssystem, welches einen elektronischen Schlussel mit einem Sender und einen gesicherten Gegenstand mit einem 
Empfanger einschliesst, worin der Sender und der Empfanger so ausgelegt sind, dass sie miteinander kommunizieren, um Authentifizierungs- 
daten zu ubertragen, dadurch gekennzeichnet, dass der Sender Identifizierungsdaten ubermittelt, die fur den Schlussel eindeutig sind, wobei 
die Identifizierungsdaten in Hardware des Senders eingebettet sind und das Sicherheitssystem eine Befugnis fur den gesicherten Gegenstand 
bei Ubertragung der Authentifizierungsdaten gewahrt, wenn die ubertragenen Identifizierungsdaten den Identifizierungsdaten des Empfiingers 
entsprechen. Ein Sicherheitssystem, welches einen elektronischen Schlussel mit einem Sender und einen gesicherten Gegenstand mit einem 
Empfanger einschlieBt, wobei der Sender und des Empfanger so ausgelegt sind, dass sie miteinander kommunizieren, um Authentifizierungs- 
daten zu ubertragen, worin die Authentifizierungsdaten in einer Antwortnachricht enthalten sind, die von dem Schlussel in Beantwortung 
einer von dem gesicherten Gegenstand empfangenen Kennungsabfrage Ubertragen wird, dadurch gekennzeichnet, dass mindestens ein Teil 
der Antwortnachricht innerhaib eines Abnahmezeitausschnitts empfangen werden muss, damit die Befugnis von dem Sicherheitssystem fttr 
den gesicherten gegenstand erteilt wird, wobei der Abnahmezeitausschnitt zu einer vorbestimmten Zeitperiode ab dem Obertragungsbeginn 
der Kennungsabfrage beginnt. 



LEDIGUCH ZUR INFORMATION 
PCT veS^emhche 1 !? entifizierung von PCT - V <*tragsstaaten auf den Kopfb5gen der Schriften, die intemationale Anmeldungen gemass dem 



AL A 1 ban i en ES 

AM Armcnicn FI 

AT Osterreich FR 

AU Austral icn GA 

AZ Aserbaidschan GB 

BA Bosnien-Herzegowina GE 

BB Barbados GH 

BE Belgicn GN 

BF Burkina Faso GR 

BG Bulgarien HU 

BJ Benin IE 

BR Brasilien IL 

BY Belarus IS 

CA Kanada IT 

CF Zentralafrikanische Republik JP 

CG Kongo KE 

CH Schweiz KG 

CI Cated'Ivoire KP 

CM Kamerun 

CN China KR 

CU Kuba KZ 

CZ Tschcchische Republik LC 

DE Deutschland LI 

DK Dan em ark LK 

EE Est land LR 



Spanien 


LS 


Lesotho 


SI 


Slowenien 


Finnland 


LT 


Litauen 


SK 


Slowakei 


Frankreich 


LU 


Luxemburg 


SN 


Senegal 


Gabun 


LV 


Lett land 


sz 


Swasiland 


Vereinigtes Kdnigreich 


MC 


Monaco 


TD 


Tschad 


Gcorgien 


MD 


Republik Moldau 


TG 


Togo 


Ghana 


MG 


Madagaskar 


TJ 


Tadschikistan 


Guinea 


MK 


Die ehemalige jugoslawische 


TM 


Turkmenistan 


Griechenland 




Republik Mazedonien 


TR 


TOrkei 


Ungam 


ML 


Mali 


TT 


Trinidad und Tobago 


Trland 


MN 


Mongolei 


UA 


Ukraine 


Israel 


MR 


Mauretanien 


UG 


Uganda 


Island 


MW 


Malawi 


US 


Vereinigte Staaten von 


It alien 


MX 


Mexiko 




Amerika 


Japan 


NE 


Niger 


uz 


Usbekistan 


Kenia 


NL 


Niederlande 


VN 


Vietnam 


Kirgisistan 


NO 


Norwegen 


YU 


Jugoslawien 


Demokratische Volksrepublik 


NZ 


Neuseeland 


zw 


Zimbabwe 


Korea 


PL 


Polen 






Republik Korea 


PT 


Portugal 






Kasachstan 


RO 


Rumanien 






St. Lucia 


RU 


Russische Federation 






Liechtenstein 


SD 


Sudan 






Sri Lanka 


SE 


Schweden 






Liberia 


SG 


Singapur 







WO 00/12846 



1 



PCT/DE99/02619 



EIN SICHERHEITS SYSTEM 

Die vorliegende Erfindung bezieht sich auf ein Sicherheitssystem, insbesondere 
ein passives Sicherheitssystem fur Fahrzeuge. 

Derzeit existierende passive Sicherheitssysteme fur den Zugang und die 
Aktivierung von Fahrzeugen verwenden fernbetatigte elektronische Schlussel, die 
einen Sender einschlieBen, der Authentifizierungsdaten an einen in dem Fahrzeug 
befindlichen Empfanger ubermittelt, wenn der Schlussel innerhalb einefs 
vorbestimmten Bereichs des Erapfangers ist. Das zwischen dem Sender und dem 
Empfanger aktivierte Kommunikationsprotokoll benutzt zum Fiihren der 
iibertragenen Daten eine Radiofrequenz-Schnittstelle. Die Radiofrequenz (RF)- 
Schnittstelle hat einen begrenzten Bereich, urn zu gewahrleisten, daB die 
Kommunikationsverbindung unterbrochen wird, wenn sich eine im Besitz des 
Schliissels befindliche Person aus der unmittelbaren Nahe des Fahrzeugs entfernt. 

Passive Sicherheitssysteme sind leicht Angriffen unbefugter Personen ausgesetzt, 
die Abfangeinrichtungen benutzen, die in die Nahe des Fahrzeugs und des 
Schliissels gebracht werden, um die von dem Schlussel xibermittelten 
Ubertragungen zu empfangen und die Ubertragungen an das Fahrzeug 
weiterzuubertragen oder die Ubertragungen aufzuzeichnen. Wenn die 
Ubertragungen erst einmal abgefangen worden sind, konnen sie demoduliert 
werden, um die iibertragenen Daten zu erhalten. Eine unbefugte Person kann einen 
authentischen Schlussel von dem Hersteller erwerben und die iibertragenen Daten 
mit dem erworbenen Schlussel als einem Zweitschliissel benutzen. Dieser 
Zweitschliissel kann dann verwendet werden, um unbefugten Zugang zu erlangen 
und/oder das Fahrzeug zu benutzen. Es soli mit der vorliegenden Erfindung ein 
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System vorgestellt werden, welches dieses Problem beseitigt oder welches 
zumindest eine zweckmaBige Alternative bietet. 

Die vorliegende Erfindung stellt ein Sicherheitssystem vor, welches einen 
elektronischen Schlussel mit einem Sender und einen gesicherten Gegenstand mit 
einem Empfanger einschlieBt, wobei der Sender und der Empfanger so ausgelegt 
sind, daB sie miteinander kommunizieren, um Authentifizierungsdaten zu 
tibertragen, dadurch gekennzeichnet, daB der Sender Identifizierungsdaten 
iibermittelt, die fur den Schlussel eindeutig sind, wobei die Identifizierungsdaten 
in Hardware des Senders eingebettet sind, und das Sicherheitssystem eine 
Befugnis fur den gesicherten Gegenstand bei TJbertragung der 
Authentifizierungsdaten gewahrt, wenn die ubertragenen Identifizierungsdaten 
den Identifizierungsdaten des Empfangers entsprechen. 

Die vorliegende Erfindung stellt auch ein Sicherheitssystem vor, einschliefilich 
einen elektronischen Schlussel mit einem Sender und einen gesicherten 
Gegenstand mit einem Empfanger, wobei der Sender und der Empfanger so 
ausgelegt sind, daB sie miteinander kommunizieren, um Authentifizierungsdaten 
zu fibertragen, wobei die Authentifizierungsdaten in einer Antwortnachricht 
eingeschlossen sind, die von dem Schlussel in Antwort auf eine von dem 
gesicherten Gegenstand erhaltenen Kennungsabfrage tibertragen wird, dadurch 
gekennzeichnet, daB mindestens ein Teil der Antwortnachricht innerhalb eines 
Abnahmezeitausschnitts erhalten werden muB, damit das Sicherheitssystem eine 
Befugnis fur den gesicherten Gegenstand gewahrt, wobei der 
Abnahmezeitausschnitt zu einer vorbestimmten Zeitperiode ab dem 
Ubertragungsbeginn der Kennungsabfrage beginnt. 
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Die vorliegende Erfmdung stellt ein Sicherheitssystem vor, welches einen 
elektronischen Schlussel mit einem Sender und einen gesicherten Gegenstand, in 
welchem sich ein Empfanger befindet, einschlieBt, wobei der Sender und der 
Empfanger so ausgelegt sind, daB sie miteinander kommunizieren, urn 
Authentifizierungsdaten zu iibertragen, dadurch gekennzeichnet, daB das von dem 
Sender und dem Empfanger ausgefuhrte Kommunikationsprotokoll die 
Ubertragung der Authentifizierungsdaten durch einen unbefugten Sender erkennt. 

Eine bevorzugte Realisierung der vorliegenden Erfmdung ist anschlieBend mit 
Bezag auf die beiliegenden Zeichnungen als Beispiel beschrieben, wobei: 

Figur 1 eine schematische Ansicht einer bevorzugten Realisierung eines 
Sicherheitssystems mit einer Abfangstation ist; 

Figur 2 ein Blockdiagramm des Sicherheitssystems ist; und 

Figur 3 ein Zeitdiagramm fur von dem Sicherheitssystem ubermittelte Signale ist. 

Ein passives Sicherheitssystem 2, wie in den Figuren gezeigt, schlieBt folgende 
ein: 

einen elektronischen Schlussel 4 mit einem Sender 6 und einer 
Induktionsspulenantenne 7, eine Basisstation 8 mit einem Empfanger 10 und einer 
Induktionsspulenantenne 12. Die Basisstation 8 ist an einem gesicherten Ort 
untergebracht, wie z.B. einem Fahrzeug, und kontrolliert den Zugang zu dem 
gesicherten Ort und/oder das Starten des Fahrzeugs. Wenn der Schlussel 4 
innerhalb eines bestimmten Bereichs der Antenne 12 des Empfangers 10 
herangefiihrt wird, erregt der Empfanger 10 den Schlussel 4, und veranlaBt 
dadurch den Sender 6, die Ubermittlung an den Empfanger 10 zu beginnen. Daten 
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werden unter Verwendung von RF-Signalen iibermittelt, welche eine 
Kommunikationsverbindvmg zwischen dern Schlussel 4 und der Basisstation 8 
herstellen. Die zwischen dem Schliissel 4 und der Basisstation 8 iibermittelten 
Daten werden durch ein Kommunikationsprotokoll bestimmt, welches der 
Schliissel 4 und die Basisstation 8 befolgen, und welches die Uberrnittlung von 
Authentifizierungsdaten von dem Schliissel 4 an den Empfanger 10 beinhaltet. 
Zugang zu dem gesicherten Ort und/oder Starten des Fahrzeugs wird von der 
Basisstation 8 nur dann zugelassen, wenn die iibermittelten 
Authentifizierungsdaten mit den von der Basisstation 8 gespeicherten 
Authentifizierungsdaten iibereinstimmen. 

Eine Abfangstation 16 schliefit einen Empfanger ein, urn auch die Ubertragungen 
von dem Schliissel 4 zu empfangen und alle empfangenen Signale zu speichern 
oder weiterzuiibertragen. Die Station 16 wird benutzt, urn die ubertragenen 
Signale zu demodulieren, urn eine Kopie der ubertragtenen Daten zu erhalten. Die 
Schliissel 4 sind Massenteile und entsprechen den von Fahrzeugherstellern 
vorgegebenen Anforderungen. 

Die Schlussel 4 weisen eine Anzahl von Sicherheitsmerkmalen auf, wie zum 
Beispiel die ubertragenen Authentifizierungsdaten und eine eindeutige spektrale 
Signatur oder einen charakteristischen Auffangpunkt drifter Ordnung (third order 
intercept point), wie in der Beschreibung der australischen Patentanmeldung Nr. 
33933/99 des Antragstellers besprochen. Es ist jedoch moglich, daB ein 
Unbefugter in der Lage ist, einen der massenproduzierten Schlussel 4 in seinen 
Besitz zu bekommen und die mittels der Abfangstation 16 erhaltenen Daten zu 
benutzen, wobei die Daten einfach an das Fahrzeug weiterubertragen werden 
konnen, indem der Sender des erhaltenen unbefugten Schlussels benutzt wird, 
oder die Daten konnen in den unbefugten Schlussel 4 gespeichert werden, urn 
einen Zweitschliissel 4 zu erstellen. Der Zweitschlussel 4 konnte daher dafiir 
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benutzt werden, unbefiigten Zugang zu einem Fahrzeug und/oder unbefiigte 
Benutzung eines Fahrzeugs zu erzielen. In einem Weiterubertragungs-Angriff 
(relay attack) wird die Abfangstation dazu benutzt, den Originalschlussel 4 zu 
enregen, welcher sich im Haus/Betrieb des Besitzers befinden kann, und dann die 
empfangenen demodulierten Daten von dem Originalschlussel 4 zu dem Fahrzeug 
weiterzuiibertragen unter Verwendung des Senders des Zweitschlussels 4. 

Urn derartige Vorkommnisse gemaB der nachfolgend beschriebenen bevorzugten 
Realisierung zu verhindern, werden die Schlussel 4 alle mit einer eindeutigen 
Seriennummerhergestellt, die als Identifizierungsdaten in dem Schlussel 4 
eingeschlossen sind. Die Identifizierungsdaten werden in der 
Maskenkonfiguration einer integrierten Schaltung untergebracht, welche den 
Sender 6 des Schliissels 4 einschlieBt. Die Identifizierungsdaten sind so in der 
integrierten Schaltung eingeschlossen, daB sie nach der Anfertigung von keinem 
anderen elektronischen Bauelement gelesen werden konnen. Der Sender 6 ist auch 
so ausgelegt, da/3 wenn der Schlussel 4 von der Basisstation 8 erregt wird, die 
Identifizierungsdaten, welche die Seriennummer darstellen, zuerst ubertragen 
werden, bevor der Sender mit der Ubertragung irgendwelcher anderer Daten, die 
ihm geliefert werden, beginnt, wie z.B. die Authentifizierungsdaten. Zurn Beispiel 
wird der Sender 6 alle Daten ubertragen, die er von einem Mikrocontroller 35 
empfangt, unter Benutzung eines Kommunikationsprotokolls, welches einen 
Anfangskennsatz einschlieBt, der als erster ubermittelt wird, bevor irgendwelche 
anderen Daten ubertragen werden. Der Sender 6 schlieBt in dem Anfangskennsatz 
die Seriennummer des Schliissels 4 ein. Die Basisstation 8 fiihrt eine Kopie der 
eindeutigen Seriennummer und wird nur Zugang zu dem Fahrzeug und/oder 
Benutzung des Fahrzeugs ermoglichen, falls: 
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(a) die empfangene Seriennummer mit der in der Basisstation 8 gespeicherten 
Seriennummer ubereinstimmt; und 

(b) die Basisstation 8 die ubertragene Seriennummer innerhalb einer zulassigen 
Zeitspanne empfangt. 

Die zulassige Zeitspanne entspricht der ersten Anfangsperiode, wenn eine 
Ubertragung von dem Schliissel 4 empfangen wird. Die zulassige Zeitspanne ist 
so eingestellt, dafi sie den Empfang der ubertragenen Seriennummer in der 
Anfangsubertragung erlaubt, ist aber auch kurz genug eingestellt, dafi sie die 
Unterdriickung der Ubertragung der eindeutigen Seriennummer des 
Zweitschlussels gefolgt von der Ubertragung einer von dem Originalschlussel 
kopierten Seriennummer erkennt. Dadurch wird sichergestellt, daB Unbefugte 
keinen Zugang zu dem Fahrzeug erhalten und/oder das Fahrzeug benutzen 
konnen, indem kopierte Daten ubertragen werden, welche die Seriennummer des 
kopierten Originalschlussels einschlieGen, nachdem die Ubertragung der 
Seriennummer von dem Zweitschlussel unterdruckt wurde. Durch Verwendung 
des Kommunikationsprotokolls mit dem die Seriennummer iibermittelnden 
Anfangskennsatz, wird bei einem Weiterubertragungs-Angriff die Abfangstation 
16, welche den unbefugten Schliissel 4 benutzt, zuerst den Anfangskennsatz 
einschlieBlich der Seriennummer des unbefugten Schlussels senden, gefolgt von 
dem Anfangskennsatz und den von dem Originalschlussel 4 erhaltenen Daten. Die 
Ubertragung von zwei Anfangskennsatzen, oder in der Tat zwei Seriennummern, 
wird erkannt. Die zulassige Zeitspanne stimmt daher mit der Zeit (iberein, die in 
Anspruch genornmen wird, um einen Anfangskennsatz zu ubertragen, bevor 
irgendwelche Daten empfangen werden. Die Struktur des Anfangskennsatzes kann 
erkannt werden wenn sich eindeutige digitale Speicherworte am Start und Stop 
eines jeden Anfangskennsatzes befinden. Auch der Anfang der Daten kann 
erkannt werden, wenn ein eindeutiger Datenvorspann vorhanden ist. 
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Dementsprechend, durch Erkennung der Anfangskennsatze, wenn die am 
Empfanger 10 erkannte Anfangskennsatz-Zeitdauer die LSnge eines 
Anfangskennsatzes iiberschreitet, dann wird der Zugang zu dem Fahrzeug 
und/oder Benutzung des Fahrzeugs verweigert. 

Der Sender 6, wie in Figur 2 gezeigt, beinhaltet eine integrierte Schaltung, die 
zwei konstante Tonsignale libermittelt, sobald der Schliissel 4 von dem 
Empfanger 10 erregt wird. Die Schaltung kann zwei Radiofrequenz-Oszillatoren 
30 bzw. 32 fur die Tone einschlieBen, deren Ausgaben in einer Antennenweiche 
34 zur Ubertragung auf die Antenne 7 des Senders 6 vereinigt werden. Altemativ 
kann die Schaltung einen komplexen Quadraturmodulator einschlieBen, der die 
Erzeugung von zwei Tonen getrennt durch ein Mehrfaches des in dem Empfanger 
10 verwendeten Kanalabstands ermoglicht. 

Eines der Tonsignale, zum Beispiel das von dem ersten Frequenz-Oszillator 30 
erzeugte, wird benutzt, urn die Identifizierungsdaten, welche die eindeutige 
Seriennummer darstellen, zu iibermitteln. Der Schliissel 4 schlieBt einen 
Mikrocontroller 35 ein, welcher Daten zur Ubertragung an den Sender 6 liefert. 
Der Sender 6 empfangt die Daten und stellt sie zusammen mit einem 
Anfangskennsatz einschlieBlich seiner Seriennummer zur Ubertragung an die 
Basisstation 8 bereit. Der Sender 6 enthalt einen Code zum Aufbau eines 
Anfangskennsatzes and stellt ihn zusammen mit Daten bereit zur Ubertragung in 
Ubereinstimmung mit dem Kommunikationsprotokol zwischen dem Schliissel 4 
und der Basisstation 8. 

Der Empfanger 10 der Basisstation 8 schlieBt ein mit der Antenne 12 verbundenes 
FM Empfangsgerat 36, einen Analog-Digital-Umsetzer 38, einen Mikrocontroller 
40 und einen frequenzsynthetisierten lokalen Oszillator 42 ein. Der 
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Mikrocontroller 40 ist zur Steuerung des Frequenzsynthetisators 42 programmiert, 
sowie zur Verarbeitung von Daten, die von dem A-D-Umsetzer 38 und dem FM- 
Empfangsgerat 36 empfangen werden. Der Frequenzsynthetisator wird zum 
Auswahlen der FrequenzkanSle verwendet, die von dem FM-Empfanger 36 
verarbeitet werden sollen, der eine RSSI-Ausgabe fur jeden der vier Kanale CI bis 
C4 erzeugt, wie in der Spezifikation der australischen Patentanmeldung No. 
33933/99 des Antragstellers besprochen. Die RSSI Ausgabe fur jeden Kanal wird 
in den A-D-Umsetzer geleitet zur Umsetzung in ein Binarwort zur Verarbeitung 
durch den Mikrocontroller 40. Der Mikrocontroller 40 behandelt das Binarwort als 
spektrale Daten, die fur die empfangene Energie in jedem der Kanale CI bis C4 
reprasentativ ist, und verwendet dann die spektralen Daten zum Vergleich mit 
einer vorher gespeicherten spektralen Signatur fur den Sender 6. 

Der FM-Empfanger 36 demoduliert auch die auf einem der Kanale C2 oder C3 
empfangenen Daten, die mit dem Tonsignal ubereinstimmen, welches die 
iibertragenen Identifizierungsdaten ubermittelt, urn irgendeinen Anfangskennsatz 
mit den Identifizierungsdaten zu erhalten, und es leitet diese an den 
Mikrocontroller 40 auf einer "Daten-erhalten- Ausgabe" (data received output) 
weiter. Der Mikrocontroller 40 speichert eine Kopie der eindeutigen 
Seriennummer des berechtigten Originalschlussels 4 als Identifizierungsdaten und 
benutzt diese gespeicherten Daten zum Vergleich mit den iibertragenen 
Identifizierungsdaten. 

Das System 2 wird gestartet, indem der Schlussel 4 innerhalb den vorbestimmten 
Bereich der Antenne 12 gefuhrt wird, damit der Schlussel 4 erregt wird und eine 
Ubertragung der zwei Grundtone und der eindeutigen Seriennummer verursacht. 
Die von dem Mikrocontroller 40 empfangenen spektralen Daten und 
Seriennummer werden dann als spektrale Signatur und Seriennummer des Senders 
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6 zwecks zukiinftigem Vergleich fur alle folgenden Kommunikationen zwischen 
dem Schlussel 4 und dem Empfanger 10 gespeichert 

Der Schlussel 4 und die Basisstation 8 fuhren dann dementsprechend die 
folgenden Schritte durch, wenn eine Kommunikationsverbindung in der Folge 
hergestellt wird: 

(i) Vor der Ubermittlung irgendwelcher Authentifizierungsdaten werden die zwei 
Grundtone in den Kanalen C2 und C3 simultan mit der Seriennummer in einem 
der Kanale C2 oder C3 ubermittelt 

(ii) Der Frequenzsynthetisator 42 wahlt die vier Kanale CI bis C4 und der FM- 
Empfanger 36 erzeugt eine RSSI-Ausgabe fur jeden der Kanale und eine "Daten- 
erhalten-Ausgabe" (data received output) fur den Mikrocontroller 40. 

(iii) Der Mikrocontroller 40 empfangt und verarbeitet die spektralen Daten, die fur die 
empfangenen Signalpegel fur jeden der Kanale reprasentativ sind, und dies wird 
mit der gespeicherten spektralen Signatur verglichen. 

(iv) Falls eine Abweichung zwischen der spektralen Signatur und den spektralen 
Daten besteht, die mehr als ±1 % darstellt, veranlaBt der Mikrocontroller 40 die 
Basisstation 8 dazu, das Authentifizierungsverfahren abzubrechen und Zugang zu 
dem gesicherten Ort und/oder Benutzung des Fahrzeugs zu verhindern. 

( v) Der Mikrocontroller 40 verarbeitet jegliche Signale auf der "Daten-erhalten- 
Ausgabe" urn festzustellen, ob sie einen Anfangskennsatz darstellen und die 
gespeicherte Seriennummer enthalten. Falls die Daten auf der "Daten-erhalten- 
Ausgabe" mit der gespeicherten Seriennummer nicht ubereinstimmen, oder der 
Mikrocontroller 40 eine Verzogerung entdeckt, welche die zulassige Zeitspanne 
zwischen der Durchfflhrung von Schritt (iii) und Empfang von mit den 
gespeicherten Seriennummerndaten ubereinstimmenden Daten uberschreitet, 
verursacht der Mikrocontroller 40 die Basisstation 8, das 
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Authentifizierungsverfahren abzubrechen und den Zugang zu dem gesicherten Ort 
und/oder Starten des Fahrzeugs zu verwehren. Die Verzogerung entspricht jeder 
versuchten Verhinderung oder Unterdriickung von Ubertragung der 
Seriennummer, wenn ein Zweitschlussel 4 anfanglich erregt wird. Genauer gesagt 
entspricht die Verzogerung dem Empfang von mehr als einem Anfangskennsatz, 
bevor zu verarbeitende Daten gemafi dem Kommunikationsprotokoll empfangen 
werden. 

(vi) Die Hohe der Abweichung der empfangenen spektralen Daten von der spektralen 
Signatur wird flir nachfolgende Analyse aufgezeichnet, um einen 
charakteristischen Auffangpunkt dritter Ordnung zu ermitteln, damit die 
angreifende Station identifiziert werden kann. Jegliche empfangene ungenehmigte 
Seriennummer eines unbefugten Schliissels wird auch gespeichert, um den 
unbefugten Schlussel zu identifizieren. Die Anzahl der Angriffe kann auch 
gespeichert werden. 

(vii) Wenn die Basisstation 8 in der Folge einen befugten Benutzer entdeckt und 
befugten Zugang und/oder Start des Fahrzeugs erlaubt, verursacht der 
Mikrocontroller 40 die Erzeugung eines Warnsignals zur Anzeige, daB ein AngrifF 
unternommen wurde. Das Warnsignal kann in Form einer Wortanzeige, einer 
Wamlampe oder eines Tonsignals sein, welches an dem gesicherten Ort, d.h. dem 
Fahrzeug, erzeugt wird. 

Um den Schlussel 4 zu erregen, schliefit die Basisstation 8 einen FM-Sender 37 
ein, welcher die Antenne 12 benutzt, um die Kennungsabfragedaten 50 an den 
Empfanger 9 des Schliissels 4 weiterzuleiten. Die Kennungsabfragedaten 50, wie 
in Figur 3 gezeigt, werden zu einem Zeitpunkt T Sum gesandt, zu welchem 
Zeitpunkt der Empfanger 36 der Basisstation 8 mit der Messung der zulassigen 
Zeitperiode beginnen kann, innerhalb welcher Zeitperiode die 
Authentifizierungsdaten von dem Schlussel 4 her erhalten werden mussen. Der 
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Schltissel 4 iibertragt die Authentifizierungsdaten und die Seriennummer auf 
einem der verfiigbaren Kanale C2 und C3 in einer Antwortnachricht 52, wie in 
Figur 3 gezeigt. Die Antwortnachricht 52 wird wahrend oder nach Ubertragung 
der Kennungsabfrage 50 gesandt. Mindestens ein Teil der Antwortnachricht 52 
muB von der Basisstation 8 innerhalb eines Abnahmezeitausschnitts 54 zwischen 
den Zeiten T MIN und T MAX empfangen werden. Die benutzten Frequenzkanale C2 
und C3 werden mittels in der Kennungsabfrage 50 enthaltene Daten ausgewahlt. 
Die Zeit T ^art entspricht dem Start 56 der Kennungsabfragedaten 50, und die 
Antwort 52 muB giiltig sein und mindestens zum Teil nicht fruher als T MIN und 
nicht spater als T MAX empfangen werden. Falls eine Antwort 58 auBerhalb des 
Zeitausschnitts 54 empfangen wird, ist sie automatisch eine ungultige Antwort 58. 
Der Beginn des Zeitausschnitts 54, T MIN kann bei T start oder wahrend oder nach 
der Kennungsabfrage 50 oder am Ende der Kennungsabfrage 50, wie in Figur 3 
gezeigt, liegen. T MAX liegt ungefahr 1 Millisekunde von T MIN5 so dafi der 
Abnahmezeitausschnitt 54 in etwa 1 Millisekunde entspricht. Dies ist besonders 
vorteilhaft, da jeder unbefugte Benutzer mit einer Angriffsstation 16 mindestens 2 
bis 5 Millisekunden braucht, urn die Ubertragungsfrequenz fur die Antwort 52 zu 
bestimmen, um die Antwort 52 abfangen zu konnen. Der Zeitausschnitt 54 ist 
dementsprechend so gelegt, daB er nur gultige Antworten 52 entdeckt und nicht 
verzogerte ungultige Antworten 58, die von einer Angriffsstation 16 erzeugt 
werden. 

Dem Fachkundigen werden hierzu eine Vielzahl von Abwandlungen gegenwartig 
werden, ohne dafl der Umfang der vorliegenden Erfmdung, wie sie hiermit unter 
Bezug auf die beiliegenden Zeichnungen beschrieben wird, iiberschritten wird. 
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ANSPRUCHE 



5 1 . Ein Sicherheitssystem, welches einen elektronischen Schliissel mit einem 

Sender und einen gesicherten Gegenstand mit einem Empfanger einschlieBt, 
worin der Sender und der Empfanger so ausgelegt sind, daB sie miteinander 
kommunizieren, um Authentifizierungsdaten zu ubertragen, dadurch 
gekennzeichnet, daB der Sender Identifizierungsdaten iibermittelt, die fur den 
10 Schliissel eindeutig sind, wobei die Identifizierungsdaten in Hardware des 

Senders eingebettet sind und das Sicherheitssystem eine Befugnis fur den 
gesicherten Gegenstand bei Ubertragung der Authentifizierungsdaten gewahrt, 
wenn die tibertragenen Identifizierungsdaten den Identifizierungsdaten des 
Empfangers entsprechen. 

15 

2. Ein Sicherheitssystem gemaB Anspruch 1, worin die Befugnis gewahrt wird, 
wenn die Identifizierungsdaten innerhalb einer zulassigen Zeitperiode erhalten 
werden und den Identifizierungsdaten des Empfangers entsprechen. 

20 3. Ein Sicherheitssystem gemaB Anspruch 2, worin die Identifizierungsdaten 

in einem Anfangskennsatz einer Kommunikationsnachricht zwischen dem 
Empfanger und dem Sender ubertragen werden und der Anfangskennsatz 
innerhalb der zulassigen Zeitperiode empfangen werden muB, damit die Befugnis 
erteilt wird. 

25 

4. Ein Sicherheitssystem gemaB Anspruch 3, worin der Anfangskennsatz von 
dem Schliissel in einer Antwortnachricht auf eine von dem gesicherten 
Gegenstand empfangene Kennungsabfrage ubertragen wird, und worin 
mindestens ein Teil der Antwortnachricht innerhalb einer zulassigen Zeitperiode 
30 empfangen werden muB> damit die Befugnis erteilt wird. 
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5. Ein Sicherheitssystem gemaB Anspruch 4, worin die zulassige Zeitperiode 
einen Abnahmezeitausschnitt darstellt, der zu dem Ubertragungsbeginn der 
Kennungsabfrage oder zu einer vorbestimmten Zeitperiode ab dem 
Ubertragungsbeginn der Kennungsabfrage beginnt. 

5 

6. Ein Ein Sicherheitssystem gemaB Anspruch 5, worin die vorbestimmte 
Zeitperiode kleiner ist als die Lange der Kennungsabfrage oder der Lange der 
Kennungsabfrage gleich ist. 

7. Ein Sicherheitssystem gemaB Anspruch 6, worin der Abnahmezeitausschnitt 
10 in etwa 1 Millisekunde entspricht. 



8. Ein Sicherheitssystem gemaB einem der vorangegangenen Anspriiche, worin 
der Sender eine integrierte Schaltung einschlieBt, in welcher die 
Identifizierungsdaten eingebettet sind. 

15 

9. Ein Sicherheitssystem gemaB einem der vorangegangenen Anspriiche, worin 
der Sender auf die Identifizierungsdaten Zugriff nimmt und diese ubertragt, wenn 
er eine Ubertragung an den Empfanger beginnt. 



20 10. Ein Sicherheitssystem gemaB Anspruch 9, worin die eindeutigen 

Identifizierungsdaten eine Seriennummer fur den Schliissel darstellen und 
automatisch ungeachtet anderer zur Ubertragung an den Sender gelieferten Daten 
ubertragen werden. 



25 11. Ein Sicherheitssystem gemaB Anspruch 9 in Abhangigkeit von mindestens 

Anspruch 2, worin der Sender ein Tonsignal ubermittelt, welches der Sender in 
spektrale Daten umwandelt, und das Sicherheitssystem Befiignis bei Ubertragung 
der Authentifizierungsdaten gewahrt, wenn die spektralen Daten mit der 
spektralen Signatur des Senders ubereinstimmen, und die iibertragenen 

30 Identifizierungsdaten mit den Identifizierungsdaten des Empfangers 

ubereinstimmen und in der zulassigen Zeitperiode empfangen werden. 
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